\section{Identifikation der Subjekte und Festlegung der Zugriffsrechte (S)}

In diesem System haben die beteiligten Akteure Zugriff auf verschiedene Komponenten des Systems. Es ist wichtig zu definieren welcher Akteur Zugriff auf welches System hat und vor allem auch welche Rechte er hat. Häufig werden für bestimmte Zugriffe nur Leserechte benötigt, daher sollten Schreibrechte verweigert werden, um ein unnötige Risiko sowohl durch Manipulation, als auch durch fehlerhafte Bedienung zu vermeiden.


Betrachtet werden an dieser Stelle der Zugriff auf den Wartungsrechner, die Protokolle, die sich auf dem Server in der Werkstatt befinden, Zugriffe auf den Update Server, die vom Hersteller gewartet werden, sowie die Zugriffe auf das Fahrzeug im Rahmen der Fernwartung. Mit den Zugriff auf dass Fahrzeug sind alle Zugriffe auf Controller gemeint, die im Rahmen der Fernwartung angesprochen werden können. Die Entwicklungsumgebung wird an dieser Stelle nicht betrachtet, da sie außerhalb der Systemgrenze liegen. 


Der Wartungsserver wird an dieser Stelle nicht betrachtet, da die vorherigen Analysen gezeigt haben, dass er ein großes Sicherheitsrisiko darstellt. Daher wird der Server komplett aus der Architektur herausgenommen. Die Funktionalität wird direkt von Hersteller über die Internetverbindung bereitgestellt. Updates werden daher nicht mehr in der Werkstatt gespeichert, sondern direkt vom Hersteller an das Fahrzeug gesendet. Die vollständige veränderte Architektur wird im nächsten Kapitel beschrieben.


Die Sicherheitsmatrix für dieses System ist in Tabelle \ref{sicherheitsmodell_zugriffsmatrix} zu sehen.

% r = read
% w = write
% x = execute

% ------------------
% Tabelle - Fahrzeug
% ------------------
\begin{table}[H]
	\singlespacing	% Einzeiliger Abstand innerhalb der Tabelle
	\small			% Kleiner Text innerhalb der Tabelle
	\center			% Tabelle zentriert
	\caption{Statische Zugriffsmatrix}
	\label{sicherheitsmodell_zugriffsmatrix}
	\begin{tabular}{|l|l|l|l|l|}
\hline
\textbf{} & 
\textbf{Wartungsrechner} &	% Wartungsrechner
\textbf{Protokoll} & 		% auf dem Wartungsserver
\textbf{Update-Server} & 	% beim Hersteller
\textbf{Fahrzeug} \\ 		% Fahrzeug
\hline

\textbf{Meister}
% Wartungsrechner
& rx
% Protokoll
& r
% Update-Server
& x
% Fahrzeug
& rwx
\\ \hline

\textbf{Geselle}
% Wartungsrechner
& rx
% Protokoll
& r
% Update-Server
& x
% Fahrzeug
& rwx
\\ \hline

\textbf{Fahrer}
% Wartungsrechner
& -
% Protokoll
& -
% Update-Server
& -
% Fahrzeug
& rx
\\ \hline

\textbf{Hersteller}
% Wartungsrechner
& -
% Protokoll
& r
% Update-Server
& rwx
% Fahrzeug
& -
\\ \hline

	\end{tabular}
\end{table}

In dieser Matrix steht
\begin{itemize}
\item r für read - Leserecht
\item w für write - Schreibrecht
\item x für execute - Ausführung von Programmen
\end{itemize}


Die Zugriffsrechte des Meisters und des Gesellen sind sehr ähnlich. Prinzipiell dürfen beide während einer Wartung auf den Wartungsrechner zugreifen. Um genau zu sein, dürfen beide Personen Daten, die sich auf dem Rechner befinden, lesen und Programme, die auf den Rechner installiert sind, ausführen. \\
Auch Wartungsprotokolle dürfen beide lesen. Das kann nützlich sein, um nachzusehen, was bereits bei einem bestimmten Auto durchgeführt wurde oder wann bestimmte Wartungen zum letzten mal durchgeführt wurden. Daher darf auch der Geselle ein solches Protokoll lesen. Es darf aber auf keinen Fall von einem Mitarbeiter manipuliert werden können. Daher hat weder der Meister, noch ein anderer Mitarbeit Schreibrechte. Auch der Hersteller darf das Protokoll lesen, aber nicht verändern. Dies kann genutzt werden, um systematische Ausfälle im System zu erkennen, was zur Verbesserung des Systems beitragen kann. \\
Updates können sowohl von Meister, als auch vom Gesellen an das Auto gesendet werden. Dafür werden Ausführungsrechte auf dem Update-Server benötigt. Die erforderliche Authentifizierung erfolgt über das Wartungsprogramm. Nur der Hersteller selbst hat Schreibrechte auf diese Server, um zu vermeiden, dass Daten aus anderen Quellen auf dem Server abgelegt wird. Auf der Seite des Herstellers wird es noch weitere interne Abstufungen geben, die die Rechte aufteilen. Die Person, die ein Update auf dem Server ablegt, benötigt keine Ausführungsrechte. Diese werden nur von Administrator benötigt, um den Server zu konfigurieren. Da der Hersteller als ein Akteur auftritt, wird an dieser Stelle der maximal mögliche Zugriff betrachtet, was in diesem Fall einem Vollzugriff entspricht. \\
Während einer Wartung hat sowohl der Meister, als auch der Geselle Lese-, Schreib und Zugriffsrechte. Die Leserechte werden benötigt, um die Daten des Fahrzeuges, wie z.B. den Kilometerstand, auszulesen und auszuwerten. Für das Installieren eines Updates werden Schreibrechte und Ausführungsrechte benötigt. Bei einer Fernwartung gibt es allerdings Einschränkungen im Vergleich zu einer regulären Wartung. Der Grund für diese Einschränkungen sind Sicherheitsrisiken, die sich daraus ergeben, dass die Mitarbeiter der Werkstatt das Auto nicht direkt im Blick haben. Daher sind nur Maßnahmen möglich, die kein Risiko darstellen. Der Fahrer selbst hat nach dem starten des Motors, was in diesem Fall die Authentifizierung darstellt, Lese- und Ausführungsrechte. Die Leserechte sind notwendig, um Sensoren auszulesen, deren Werte über verschiedene Anzeigen dargestellt werden. Um den Motor zu starten wird das Ausführungsrecht benötigt. Der Hersteller hat keinen Zugriff auf das Fahrzeug.
